¶ Архитектура ПО контроллера
¶ Состав и функционал
Программное обеспечение контроллера представляет собой модульную систему и включает в себя следующие компоненты:
- Драйверы промышленных протоколов - преобразуют данные от полевых устройств, устройств среднего уровня в протокол MQTT.
- Брокер сообщений MQTT - является информационной шиной внутри контроллера для обмена сообщениями между сервисами и драйверами.
- Агент АС «Андромеда» - обеспечивает связь физического или виртуального контроллера на объекте с облачной платформой АС «Андромеда».
.png)
¶ Модули ПЛК
¶ 1. Драйвер Modbus2mqtt
Специализированный модуль для работы с устройствами по протоколу Modbus RTU/RTU-over-TCP/TCP.
Основные функции:
- Опрос ПЛК среднего уровня, устройств локальной автоматики, модулей ввода-вывода, датчиков с поддержкой цифровых каналов связи;
- Преобразование значений регистров Modbus в сообщения MQTT;
- Публикация и подписка на команды управления через локальный MQTT брокер.
¶ 2. Драйвер Bacnet2mqtt
Специализированный модуль для работы с устройствами по протоколу BACnet/IP.
Основные функции:
- Опрос подключенных BACnet-устройств (контроллеры ОВК, датчики, исполнительные механизмы);
- Преобразование считанных/полученных свойств BACnet (Object Properties) в сообщения MQTT;
- Обмен данными и командами через локальный MQTT брокер.
¶ 3. Драйвер Opcua2mqtt
Специализированный модуль для работы с устройствами по протоколу OPC UA (клиент).
Основные функции:
- Подключение к OPC UA-серверам промышленных контроллеров и SCADA-систем;
- Периодический опрос и подписка на изменение переменных (тегов) в адресном пространстве сервера;
- Преобразование считанных значений и атрибутов OPC UA-узлов в сообщения MQTT (JSON);
- Обмен данными и командами через локальный MQTT брокер.
¶ 3. Локальный MQTT брокер
Внутренний брокер сообщений на базе Eclipse Mosquitto или аналогов.
Основные функции:
- Обмен сообщениями между драйверами и Агентом АС «Андромеда»;
- Интеграция с локальными системами автоматизации (например Node-RED);
- Создание мостовых соединений (bridge) для интеграции со сторонними сервисами и системами.
¶ 4. Агент
Основной управляющий модуль, обеспечивающий связь между объектом и АС «Андромеда».
Основные функции:
- Обеспечение связанности объекта с облачной платформой АС «Андромеда»;
- Нормализацию данных и буферизация данных (при временной потери связи);
- Обработка команд управления от облачной платформы АС «Андромеда».
¶ Модули облачной платформы
-
Глобальный брокер: обеспечивает связь c Агентами на всех объектах и передачу данных в инстанс АС «Андромеда».
-
Инстанс АС «Андромеда»: Облачная платформа, выполняющая комплекс функций:
- Хранение и обработка данных - агрегация, анализ и долгосрочное хранение данных;
- Управление оборудованием - формирование и маршрутизация управляющих команд для устройств;
- Визуализация и интерфейсы - Предоставление пользовательского интерфейса для мониторинга данных (дашборды, графики, отчеты), интеграция с внешними системами;
- Безопасность и контроль доступа - управление доступом, ролевая модель;
- Автоматизация - выполнение сценариев и правил обработки событий.
¶ Требования к аппаратному обеспечению
Под количеством параметров принято общее количество данных, передаваемых с объекта.
¶ Программно-аппаратные требования для установки ПО АС «Андромеда»
¶ До 2000 параметров
Минимальные требования:
- Архитектура: ARM64, ARM, AMD64, ARMEL, ARMHF;
- Процессор: многоядерный с частотой на 1 ядро не менее 1.0 ГГц;
- Оперативная память (RAM): не менее 512 Мбайт;
- Внутренний накопитель: не менее 8 Гбайт;
- Операционная система: Armbian 23+, Debian 11+, Ubuntu 20+, OpenWRT 23+.
¶ От 2000 до 5000 параметров
Минимальные требования:
- Архитектура: ARM64, AMD64;
- Процессор: многоядерный с частотой на 1 ядро не менее 1.5 ГГц;
- Оперативная память (RAM): не менее 1 Гбайт;
- Внутренний накопитель: не менее 8 Гбайт;
- Операционная система: Armbian 23+, Debian 11+, Ubuntu 20+, OpenWRT 23+.
¶ От 5000 до 15000 параметров
Минимальные требования:
- Архитектура: x86-64;
- Процессор: с количеством ядер от 4 и частотой от 2.4 ГГц;
- Оперативная память (RAM): не менее 8 Гбайт;
- Внутренний накопитель: HDD 1TB + SSD 512GB;
- Операционная система: Debian 11+, Ubuntu 20+.
¶ От 15000 до 30000 параметров
Минимальные требования:
- Архитектура: x86-64;
- Процессор: с количеством ядер от 6 и частотой от 2.8 ГГц;
- Оперативная память (RAM): не менее 16 Гбайт;
- Внутренний накопитель: HDD 1TB + SSD 1TB;
- Операционная система: Debian 11+, Ubuntu 20+.
¶ Свыше 30000 параметров
Характеристики уточняются индивидуально. Обратитесь к вендору программного обеспечения «Андромеда».
¶ Примеры вендоров
| Производитель | Модель | Процессор | Оперативная память | Внутренний накопитель | Операционная система | Заключение о совместимости |
|---|---|---|---|---|---|---|
| WirenBoard | WirenBoard 8 | ARM Cortex-A53 (4 ядра, 1,15 ГГц) | 4 Гб LPDDR4 | 64 Гбайт eMMC | Linux (Debian/Ubuntu) | ЗоС Wirenboard |
| JetHome | JetHub D1+ | ARM Cortex-A53 (4 ядра, 1,5 ГГц) | 2 Гб DDR4 | 32 Гбайт eMMC | Linux (Armbian, Home Assistant OS) | ЗоС JetHome |
| JetHome | JetHub H1 | ARM Cortex-A53 (4 ядра, 1,2 ГГц) | 2 Гб DDR3 | 16 Гбайт eMMC | Linux (Armbian, Home Assistant OS) | ЗоС JetHome |
| iROBO | iROBO 6000-362U-W | Intel Core i5-1335UE (10 ядер 1.3-4.5ГГц) | 8 Гб DDR4 SO-DIMM | 256Гб M.2 2280 NVMe TLC | Linux (Debian/Ubuntu) | ЗоС iROBO |
| Связь инжиниринг М | УМ-40 Smart | ARM Cortex-A7 (4 ядра) | 512 Мб | 32 Гб | FriendlyCore (Ubuntu-based) | ЗоС Связь инжиниринг М |
| Связь инжиниринг М | УМ-40 СКЗИ | ARM Cortex-A7 (4 ядра) | 512 Мб | 32 Гб | FriendlyCore (Ubuntu-based) | ЗоС Связь инжиниринг М |
| AWADA | RAPIDA-C | Quad-core (4 ядра, 1,2 ГГц) | 4 Гб | 16 Гбайт eMMC | Linux (Astra) | ЗоС AWADA |
| TELEOFIS | LT-50 | ARM Cortex-A7 (1 ядро, 1,3 ГГц) | 256 Мб | 256 Мб | OpenWRT-based (Linux) | ЗоС TELEOFIS |
| TELEOFIS | LT-51 | ARM Cortex-A7 (1 ядро, 1,3 ГГц) | 256 Мб | 256 Мб | OpenWRT-based (Linux) | ЗоС TELEOFIS |
¶ Дополнительные требования
- MQTT Broker: Mosquitto ≥ 2.0.20 / NanoMQ ≥ 0.24.2 / аналоги (рассматриваются отдельно);
- Обязательные пакеты ОС: ca-certificates, systemd.
¶ Особенности виртуализации
При развертывании на виртуальных машинах требования к ресурсам соответствуют указанным выше диапазонам параметров. Рекомендуется резервировать дополнительную память для стабильной работы гипервизора.
¶ Безопасность
¶ Обеспечение безопасности на контроллерах
АС «Андромеда» обеспечивает высокие стандарты кибербезопасности контроллеров и серверов сбора данных на объекте. Для обеспечения безопасности применяются следующие механизмы:
- Работа технического персонала от непривилегированного пользователя;
- Ограничение доступа по SSH;
- Отключение неиспользуемых сервисов;
- Изменение портов для стандартных служб и сервисов;
- Использование firewall для ограничения сетевого взаимодействия;
- Любые логины/пароли не хранятся в открытом виде;
- Интеграция в SoC заказчика.
¶ Защита каналов связи
Защита канала передачи данных обеспечивается путем построения OpenVPN-туннелей в следующих режимах:
- P2P (point-to-point) - для защищенного соеднения между контроллером и VPN-сервером.
- Subnet - для сегментированного доступа пользователей к оборудованию объектов.
Сегментированный доступ пользователей (Subnet-режим)
Данный режим предназначен для предоставления контролируемого доступа персоналу:
- Специалистам компании-интегратора;
- Инженерно-техническим сотрудникам закзачика с удаленных рабочих местю
Каждому объекту инфраструктуры выделяется собственная изолированная подсеть IP-адресов. Это позволяет логически разделять оборудование и обеспечивать доступ только к разрешенным сегментам сети.
Все контроллеры и серверы сбора данных группируются по принадлежности к организации и конкретному объекту. Архитектура системы поддерживает дальнейшую, более детальную сегментацию внутри организации или объекта, что может потребоваться:
- При разграничении балансовой принадлежности активов;
- Для соблюдения особых требований кибербезопасности эксплутарирующей организации.
¶ Механизмы безопасности
- Двухфакторная аутентификация:
- Для контроллеров: связка «неотчуждаемый сертификат» и «логин/пароль»;
- Для пользователей: «логин/пароль» + «OTP-код».
- Индивидуальные VPN-профили:
- Конфигурацию сервера (IP адрес / порт / маршруты / DNS-сервер);
- Ключи шифрования;
- Сертификат TLS.
- Дополнительное шифрование:
- Трафик к облачной платформе АС «Андромеда» передается по протоколу MQTTS (TLS).
Уровни безопасности OpenVPN
| Уровень | Технология | Защита от |
|---|---|---|
| Аутентификация | Сертификаты х509v3 | Несанкционированных подключений |
| Шифрование данных | AES-256 | Перехвата данных |
| Целостность данных | HMAC - SHA512 | Изменения/подмены пакетов данных |
¶ Техническая документация
Платформа АС «Андромеда» сопровождается полным комплектом технической документации и специализированными инструментами. Этот набор позволяет партнерам и инженерам заказчика эффективно выполнять интеграцию, настройку и управление периферийными контроллерами.
Стандартный комплект включает: